Principios de diseño de seguridad
Una carga de trabajo de Well-Architected debe compilarse con un enfoque de confianza cero. Una carga de trabajo segura es resistente a los ataques e incorpora los principios de seguridad interrelacionados de confidencialidad, integridad y disponibilidad (también conocido como triad de la CIA) además de cumplir los objetivos empresariales. Cualquier incidente de seguridad tiene la posibilidad de convertirse en una infracción importante que daña la marca y la reputación de la carga de trabajo o la organización. Para medir la eficacia de seguridad de la estrategia general de una carga de trabajo, comience con estas preguntas:
¿Las inversiones defensivas proporcionan costos y fricciones significativos para evitar que los atacantes poner en peligro la carga de trabajo?
¿Las medidas de seguridad serán eficaces para restringir el radio de explosión de un incidente?
¿Entiende cómo controlar la carga de trabajo podría ser útil para un atacante? ¿Entiende el impacto en su empresa si la carga de trabajo y sus datos son robados, no disponibles o alterados?
¿La carga de trabajo y las operaciones pueden detectar, responder y recuperarse rápidamente de las interrupciones?
Al diseñar el sistema, use el modelo de Microsoft Confianza cero como brújula para mitigar los riesgos de seguridad:
Compruebe explícitamente para que solo las identidades de confianza realicenacciones previstas y permitidas que se originen en ubicaciones esperadas. Esta protección dificulta a los atacantes suplantar a usuarios y cuentas legítimos.
Use el acceso con privilegios mínimos para las identidades adecuadas, con el conjunto adecuado de permisos, durante la duración correcta y en los recursos adecuados. Limitar los permisos ayuda a evitar que los atacantes usen los permisos que los usuarios legítimos ni siquiera necesitan.
Suponga que se infringen los controles de seguridad y diseñan controles de compensación que limitan el riesgo y los daños si se produce un error en una capa principal de defensa. Esto le ayuda a defender mejor la carga de trabajo pensando como un atacante interesado en el éxito (independientemente de cómo lo obtengan).
La seguridad no es un esfuerzo único. Debe implementar esta guía periódicamente. Mejore continuamente sus conocimientos de defensa y seguridad para ayudar a mantener su carga de trabajo a salvo de los atacantes que obtienen acceso constantemente a vectores de ataque innovadores a medida que se desarrollan y agregan a los kits de ataque automatizados.
Los principios de diseño están diseñados para establecer una mentalidad de seguridad continua para ayudarle a mejorar continuamente la posición de seguridad de la carga de trabajo a medida que los intentos de atacantes evolucionan continuamente. Estos principios deben guiar la seguridad de la arquitectura, las opciones de diseño y los procesos operativos. Comience con los enfoques recomendados y justifica las ventajas de un conjunto de requisitos de seguridad. Después de establecer la estrategia, impulse las acciones mediante la lista de comprobación de seguridad como paso siguiente.
Si estos principios no se aplican correctamente, se puede esperar un impacto negativo en las operaciones empresariales y los ingresos. Algunas consecuencias pueden ser obvias, como penalizaciones para cargas de trabajo normativas. Es posible que otros no sean tan obvios y podrían dar lugar a problemas de seguridad continuos antes de que se detecten.
En muchas cargas de trabajo críticas, la seguridad es la principal preocupación, junto con la confiabilidad, dado que algunos vectores de ataque, como la filtración de datos, no afectan a la confiabilidad. La seguridad y la confiabilidad pueden extraer una carga de trabajo en direcciones opuestas, ya que el diseño centrado en la seguridad puede introducir puntos de error y aumentar la complejidad operativa. El efecto de la seguridad en la confiabilidad suele ser indirecto, introducido por medio de restricciones operativas. Considere cuidadosamente los inconvenientes entre la seguridad y la confiabilidad.
Al seguir estos principios, puede mejorar la eficacia de la seguridad, proteger los recursos de carga de trabajo y crear confianza con los usuarios.
Planear la preparación de la seguridad
 Esforzarse por adoptar e implementar prácticas de seguridad en las decisiones de diseño arquitectónico y las operaciones con una fricción mínima. |
|---|
Como propietario de la carga de trabajo, tiene una responsabilidad compartida con la organización para proteger los recursos. Cree un plan de preparación para la seguridad que esté alineado con las prioridades empresariales. Dará lugar a procesos bien definidos, inversiones adecuadas y cuentas adecuadas. El plan debe proporcionar los requisitos de carga de trabajo a la organización, que también comparte la responsabilidad de proteger los recursos. Los planes de seguridad deben tener en cuenta la estrategia para la confiabilidad, el modelado de estado y la autoconservación.
Además de los recursos de la organización, la propia carga de trabajo debe protegerse frente a ataques de intrusión y filtración. Todas las facetas de Confianza cero y la triad cia deben tenerse en cuenta en el plan.
Los requisitos funcionales y no funcionales, las restricciones presupuestarias y otras consideraciones no deben restringir las inversiones de seguridad ni diluir las garantías. Al mismo tiempo, debe diseñar y planear inversiones en seguridad teniendo en cuenta esas restricciones y restricciones.
| Enfoque | Prestación |
|---|---|
| Use la segmentación como estrategia para planear los límites de seguridad en el entorno de carga de trabajo, los procesos y la estructura del equipo para aislar el acceso y la función. La estrategia de segmentación debe estar controlada por los requisitos empresariales. Puede basarlo en la importancia crítica de los componentes, la división del trabajo, los problemas de privacidad y otros factores. |
Podrá minimizar la fricción operativa definiendo roles y estableciendo líneas claras de responsabilidad. Este ejercicio también le ayuda a identificar el nivel de acceso para cada rol, especialmente para las cuentas de impacto crítico. El aislamiento permite limitar la exposición de flujos confidenciales solo a roles y recursos que necesitan acceso. La exposición excesiva podría provocar accidentalmente la divulgación del flujo de información. En resumen, podrá ajustar el tamaño de los esfuerzos de seguridad en función de las necesidades de cada segmento. |
| Cree continuamente aptitudes a través del entrenamiento de seguridad basado en roles que cumpla los requisitos de la organización y los casos de uso de la carga de trabajo. | Un equipo altamente cualificado puede diseñar, implementar y supervisar los controles de seguridad que siguen siendo eficaces contra los atacantes, que buscan constantemente nuevas formas de aprovechar el sistema. Normalmente, el entrenamiento en toda la organización se centra en desarrollar un conjunto de aptitudes más amplio para proteger los elementos comunes. Sin embargo, con el entrenamiento basado en roles, se centra en el desarrollo de conocimientos profundos en las ofertas de plataforma y las características de seguridad que abordan los problemas de la carga de trabajo. Debe implementar ambos enfoques para defenderse contra adversarios a través de buenas operaciones de diseño y eficaces. |
| Asegúrese de que hay un plan de respuesta a incidentes para la carga de trabajo. Use marcos del sector que definen el procedimiento operativo estándar para la preparación, detección, contención, mitigación y actividad posterior al incidente. |
En el momento de la crisis, debe evitarse la confusión. Si tiene un plan bien documentado, los roles responsables pueden centrarse en la ejecución sin perder tiempo en acciones inciertas. Además, un plan completo puede ayudarle a garantizar que se cumplen todos los requisitos de corrección. |
| Fortalecer la posición de seguridad mediante la comprensión de los requisitos de cumplimiento de seguridad que se imponen por influencias fuera del equipo de cargas de trabajo, como directivas organizativas, cumplimiento normativo y estándares del sector. | Clarity sobre los requisitos de cumplimiento le ayudarán a diseñar las garantías de seguridad adecuadas y evitar problemas de incumplimiento, lo que podría provocar sanciones. Los estándares del sector pueden proporcionar una línea de base e influir en su elección de herramientas, directivas, medidas de seguridad, directrices, enfoques de administración de riesgos y formación. Si sabe que la carga de trabajo cumple el cumplimiento, podrá infundir confianza en la base de usuarios. |
| Defina y aplique estándares de seguridad de nivel de equipo en el ciclo de vida y las operaciones de la carga de trabajo. Se esfuerza por realizar prácticas coherentes en operaciones como codificación, aprobaciones controladas, administración de versiones y protección y retención de datos. |
La definición de buenas prácticas de seguridad puede minimizar la negligencia y el área expuesta para posibles errores. El equipo optimizará los esfuerzos y el resultado será predecible porque los enfoques se hacen más coherentes. Observar los estándares de seguridad a lo largo del tiempo le permitirá identificar oportunidades de mejora, posiblemente incluida la automatización, lo que simplificará aún más los esfuerzos y aumentará la coherencia. |
| Alinee la respuesta a incidentes con la función centralizada de Security Operation Center (SOC) en su organización. | La centralización de las funciones de respuesta a incidentes le permite aprovechar las ventajas de los profesionales de TI especializados que pueden detectar incidentes en tiempo real para abordar posibles amenazas lo antes posible. |
Diseño para proteger la confidencialidad
| Evite la exposición a la privacidad, la normativa, la aplicación y la información propietaria a través de restricciones de acceso y técnicas de ofuscación. |
|---|
Los datos de carga de trabajo se pueden clasificar por usuario, uso, configuración, cumplimiento, propiedad intelectual, etc. Esos datos no se pueden compartir ni acceder a ellos más allá de los límites de confianza establecidos. Los esfuerzos para proteger la confidencialidad deben centrarse en los controles de acceso, la opacidad y mantener un registro de auditoría de las actividades relacionadas con los datos y el sistema.
| Enfoque | Prestación |
|---|---|
| Implemente controles de acceso seguros que concedan acceso solo de forma necesaria. | Privilegios mínimos. La carga de trabajo se protegerá contra el acceso no autorizado y las actividades prohibidas. Incluso cuando el acceso procede de identidades de confianza, los permisos de acceso y el tiempo de exposición se minimizarán porque la ruta de comunicación está abierta durante un período limitado. |
| Clasifique los datos en función de su tipo, confidencialidad y riesgo potencial. Asigne un nivel de confidencialidad para cada uno. Incluya los componentes del sistema que están en el ámbito del nivel identificado. |
Comprobación de forma explícita. Esta evaluación le ayuda a ajustar el tamaño de las medidas de seguridad. También podrá identificar datos y componentes que tengan un alto impacto potencial o exposición al riesgo. Este ejercicio agrega claridad a la estrategia de protección de la información y ayuda a garantizar el acuerdo. |
| Proteja los datos en reposo, en tránsito y durante el procesamiento mediante el cifrado. Base su estrategia en el nivel de confidencialidad asignado. | Asunción de infracciones de seguridad. Incluso si un atacante obtiene acceso, no podrá leer los datos confidenciales cifrados correctamente . Los datos confidenciales incluyen información de configuración que se usa para obtener más acceso dentro del sistema. El cifrado de datos puede ayudarle a contener riesgos. |
| Protege contra vulnerabilidades de seguridad que podrían provocar una exposición no justificada de la información. | Comprobación de forma explícita. Es fundamental minimizar las vulnerabilidades en las implementaciones de autenticación y autorización, el código, las configuraciones, las operaciones y los que se derivan de los hábitos sociales de los usuarios del sistema. Las medidas de seguridad actualizadas permiten impedir que las vulnerabilidades de seguridad conocidas entren en el sistema. También puede mitigar nuevas vulnerabilidades que pueden aparecer a lo largo del tiempo mediante la implementación de operaciones rutinarias a lo largo del ciclo de desarrollo, lo que mejora continuamente las garantías de seguridad. |
| Protegerse contra la filtración de datos que resulta del acceso malintencionado o accidental a los datos. | Asunción de infracciones de seguridad. Podrá contener radio de explosión bloqueando la transferencia de datos no autorizada. Además, los controles aplicados a las redes, la identidad y el cifrado protegerán los datos en varias capas. |
| Mantenga el nivel de confidencialidad a medida que los datos fluyen a través de varios componentes del sistema. | Asunción de infracciones de seguridad. La aplicación de niveles de confidencialidad en todo el sistema le permite proporcionar un nivel coherente de protección. Si lo hace, puede evitar vulnerabilidades que puedan dar lugar a mover datos a un nivel de seguridad inferior. |
| Mantenga un registro de auditoría de todos los tipos de actividades de acceso. | Asunción de infracciones de seguridad. Los registros de auditoría admiten la detección y recuperación más rápidas en caso de incidentes y ayudan con la supervisión continua de la seguridad. |
Diseño para proteger la integridad
| Evite daños en el diseño, la implementación, las operaciones y los datos para evitar interrupciones que puedan impedir que el sistema entregue su utilidad prevista o que funcione fuera de los límites prescritos. El sistema debe proporcionar garantía de información a lo largo del ciclo de vida de la carga de trabajo. |
|---|
La clave es implementar controles que impiden la manipulación de la lógica de negocios, los flujos, los procesos de implementación, los datos e incluso los componentes de pila inferiores, como el sistema operativo y la secuencia de arranque. La falta de integridad puede presentar vulnerabilidades que pueden provocar infracciones en la confidencialidad y disponibilidad.
| Enfoque | Prestación |
|---|---|
| Implemente controles de acceso seguros que autentiquen y autoricen el acceso al sistema. Minimice el acceso en función de los privilegios, el ámbito y la hora. |
Privilegios mínimos. Dependiendo de la intensidad de los controles, podrá evitar o reducir los riesgos de modificaciones no aprobadas. Esto ayuda a garantizar que los datos sean coherentes y confiables. Minimizar el acceso limita la extensión de posibles daños. |
| Proteja continuamente contra vulnerabilidades y detectelas en la cadena de suministro para impedir que los atacantes inserten errores de software en la infraestructura, compilen el sistema, las herramientas, las bibliotecas y otras dependencias. La cadena de suministro debe examinar las vulnerabilidades durante el tiempo de compilación y el tiempo de ejecución. |
Asunción de infracciones de seguridad. Conocer el origen del software y comprobar su autenticidad durante todo el ciclo de vida proporcionará previsibilidad. Conocerá bien las vulnerabilidades de antemano para que pueda corregirlas de forma proactiva y mantener el sistema protegido en producción. |
| Establezca la confianza y compruebe mediante técnicas de criptografía como atestación, firma de código, certificados y cifrado. Proteja esos mecanismos al permitir el descifrado de buena reputación. |
Compruebe explícitamente, privilegios mínimos. Sabrá que un origen de confianza comprueba los cambios en los datos o el acceso al sistema. Incluso si un actor malintencionado intercepta los datos cifrados en tránsito, el actor no podrá desbloquear ni descifrar el contenido. Puede usar firmas digitales para asegurarse de que los datos no se han alterado durante la transmisión. |
| Asegúrese de que los datos de copia de seguridad son inmutables y cifrados cuando los datos se replican o transfieren. | Comprobación explícita Podrá recuperar datos con confianza en que los datos de copia de seguridad no se cambiaron en reposo, de forma involuntaria o malintencionada. |
| Evite o mitigue las implementaciones del sistema que permiten que la carga de trabajo funcione fuera de sus límites y propósitos previstos. | Comprobación explícita Cuando el sistema tiene fuertes medidas de seguridad que comprueban si el uso se alinea con sus límites y propósitos previstos, se reduce el ámbito de posibles abusos o alteraciones del proceso, las redes y los almacenes de datos. |
Diseño para proteger la disponibilidad
| Evite o minimice el tiempo de inactividad del sistema y la carga de trabajo y la degradación en caso de un incidente de seguridad mediante controles de seguridad seguros. Debe mantener la integridad de los datos durante el incidente y después de que el sistema se recupere. |
|---|
Debe equilibrar las opciones de arquitectura de disponibilidad con las opciones de arquitectura de seguridad. El sistema debe tener garantías de disponibilidad para garantizar que los usuarios tengan acceso a los datos y que se pueda acceder a ellos. Desde una perspectiva de seguridad, los usuarios deben funcionar dentro del ámbito de acceso permitido y los datos deben ser de confianza. Los controles de seguridad deben bloquear actores incorrectos, pero no deberían impedir que los usuarios legítimos accedan al sistema y a los datos.
| Enfoque | Prestación |
|---|---|
| Evite que las identidades en peligro desusen el acceso para obtener el control del sistema. Compruebe si hay límites de tiempo y ámbito generalizados para minimizar la exposición al riesgo. |
Privilegios mínimos. Esta estrategia mitiga los riesgos de permisos de acceso excesivos, innecesarios o incorrectos en recursos cruciales. Los riesgos incluyen modificaciones no autorizadas e incluso la eliminación de recursos. Aproveche las ventajas de los modos de seguridad Just-In-Time (JIT) proporcionados por la plataforma, el acceso just-enough (JEA) y los modos de seguridad basados en el tiempo para reemplazar los permisos permanentes siempre que sea posible. |
| Use controles de seguridad y patrones de diseño para evitar ataques y errores de código que provoquen el agotamiento de recursos y el bloqueo del acceso. | Comprobación de forma explícita. El sistema no experimentará tiempo de inactividad causado por acciones malintencionadas, como ataques de denegación de servicio distribuido (DDoS). |
| Implemente medidas preventivas para vectores de ataque que aprovechen vulnerabilidades en el código de la aplicación, protocolos de red, sistemas de identidad, protección contra malware y otras áreas. | Asunción de infracciones de seguridad. Implemente escáneres de código, aplique las revisiones de seguridad más recientes, actualice el software y proteja el sistema con antimalware eficaz de forma continua. Podrá reducir la superficie expuesta a ataques para garantizar la continuidad empresarial. |
| Priorice los controles de seguridad en los componentes y flujos críticos del sistema que son susceptibles a riesgos. | Suponga que se ha infringido, compruebe explícitamente. Los ejercicios de detección y priorización regulares pueden ayudarle a aplicar conocimientos de seguridad a los aspectos críticos del sistema. Podrá centrarse en las amenazas más probables y perjudiciales e iniciar la mitigación de riesgos en áreas que necesiten la mayor atención. |
| Aplique al menos el mismo nivel de rigor de seguridad en los recursos y procesos de recuperación que en el entorno principal, incluidos los controles de seguridad y la frecuencia de copia de seguridad. | Asunción de infracciones de seguridad. Debe tener un estado de sistema seguro conservado disponible en la recuperación ante desastres. Si lo hace, puede conmutar por error a un sistema secundario seguro o ubicación y restaurar copias de seguridad que no presenten una amenaza. Un proceso bien diseñado puede impedir que un incidente de seguridad impida el proceso de recuperación. Los datos de copia de seguridad dañados o los datos cifrados que no se pueden descifrar pueden ralentizar la recuperación. |
Mantener y evolucionar la posición de seguridad
| Incorpore la mejora continua y aplique la vigilancia para mantenerse al día de los atacantes que están evolucionando continuamente sus estrategias de ataque. |
|---|
La posición de seguridad no debe degradarse con el tiempo. Debe mejorar continuamente las operaciones de seguridad para que las nuevas interrupciones se controlen de forma más eficaz. Se esfuerza por alinear las mejoras con las fases definidas por los estándares del sector. Si lo hace, se produce una mejor preparación, un tiempo reducido para la detección de incidentes y una contención y mitigación eficaces. La mejora continua debe basarse en las lecciones aprendidas de los incidentes pasados.
Es importante medir la posición de seguridad, aplicar directivas para mantener esa posición y validar periódicamente las mitigaciones de seguridad y los controles de compensación con el fin de mejorar continuamente la posición de seguridad frente a amenazas en constante evolución.
| Enfoque | Prestación |
|---|---|
| Cree y mantenga un inventario completo de recursos que incluya información clasificada sobre recursos, ubicaciones, dependencias, propietarios y otros metadatos relevantes para la seguridad. Tanto como sea posible, automatice el inventario para derivar datos del sistema. |
Un inventario bien organizado proporciona una visión holística del entorno, que le pone en una posición ventajosa contra los atacantes, especialmente durante las actividades posteriores al incidente. También crea un ritmo empresarial para impulsar la comunicación, el mantenimiento de los componentes críticos y la retirada de recursos huérfanos. |
| Realice el modelado de amenazas para identificar y mitigar posibles amenazas. | Tendrá un informe de vectores de ataque priorizados por su nivel de gravedad. Podrá identificar rápidamente amenazas y vulnerabilidades y configurar contramedidas. |
| Capture periódicamente los datos para cuantificar el estado actual con respecto a la línea de base de seguridad establecida y establecer prioridades para las correcciones. Aproveche las características proporcionadas por la plataforma para la administración de la posición de seguridad y la aplicación del cumplimiento impuesto por organizaciones externas e internas. |
Necesita informes precisos que traen claridad y consenso para centrar las áreas. Podrá ejecutar inmediatamente correcciones técnicas, empezando por los elementos de prioridad más alta. También identificará las brechas, que proporcionan oportunidades de mejora. La implementación del cumplimiento ayuda a evitar infracciones y regresiones, lo que conserva la posición de seguridad. |
| Ejecute pruebas de seguridad periódicas realizadas por expertos externos al equipo de carga de trabajo que intentan hackear éticamente el sistema. Realice un examen de vulnerabilidades integrado y rutinario para detectar vulnerabilidades de seguridad en la infraestructura, las dependencias y el código de la aplicación. |
Estas pruebas permiten validar las defensas de seguridad mediante la simulación de ataques reales mediante técnicas como pruebas de penetración. Las amenazas se pueden introducir como parte de la administración de cambios. La integración de escáneres en las canalizaciones de implementación permite detectar automáticamente vulnerabilidades e incluso poner en cuarentena el uso hasta que se quitan las vulnerabilidades. |
| Detecte, responda y recupere con operaciones de seguridad rápidas y eficaces. | La principal ventaja de este enfoque es que le permite conservar o restaurar las garantías de seguridad de la tríada de la CIA durante y después de un ataque. Debe recibir una alerta en cuanto se detecte una amenaza para poder iniciar las investigaciones y tomar las medidas adecuadas. |
| Realice actividades posteriores a incidentes , como análisis de causa principal, análisis posteriores a la memoria e informes de incidentes. | Estas actividades proporcionan información sobre el impacto de la infracción y las medidas de resolución, lo que impulsa mejoras en las defensas y las operaciones. |
| Obtener actual y mantenerse al día. Manténgase al día de las actualizaciones, la aplicación de revisiones y las correcciones de seguridad. Evalúe continuamente el sistema y mejore en función de los informes de auditoría, las pruebas comparativas y las lecciones de las actividades de prueba. Considere la automatización, según corresponda. Use la inteligencia sobre amenazas con tecnología de análisis de seguridad para la detección dinámica de amenazas. A intervalos regulares, revise la conformidad de la carga de trabajo con los procedimientos recomendados del ciclo de vida de desarrollo de seguridad (SDL). |
Podrá asegurarse de que la posición de seguridad no se degrada con el tiempo. Mediante la integración de resultados de ataques reales y actividades de prueba, podrá combatir a los atacantes que mejoran y aprovechan continuamente nuevas categorías de vulnerabilidades. La automatización de tareas repetitivas reduce la posibilidad de error humano que puede crear riesgos. Las revisiones de SDL proporcionan claridad sobre las características de seguridad. SDL puede ayudarle a mantener un inventario de los recursos de carga de trabajo y sus informes de seguridad, que abarcan el origen, el uso, las debilidades operativas y otros factores. |
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de